安華聯網解析SBOM管理對策，循序化解軟體供應鏈資安破口

隨著疫情加速數位轉型，使資安威脅持續加劇，為此各個國家或產業紛紛祭出更嚴謹的資安規範，要求聯網設備製造商需建立軟體物料清單（SBOM），以此為基礎來加強軟體供應鏈安全。
 
安華聯網技術長劉作仁表示，不可能只依賴單一作業（例如測試）來確保產品安全性；而是需要將資訊安全的文化注入到組織裡，透過持續運作與改善，才能達到目的。
 
值得一提，現今包括美、加、歐洲，乃至亞太區的日、韓、星及台灣，都已祭出有關軟體供應鏈安全的規定；譬如台灣衛福部在2021年5月發佈的「適用於製造業者之醫療器材網路安全指引」，明確要求業者必須提供SBOM，作為上市前審查資料。

利用SBOM，追蹤檢視開源套件安全問題

綜觀各國醫療設備資訊安全要求重點，皆蘊含生命週期概念，主張將安全嵌入到設備的需求、設計、實作、風險管理等前置流程，再藉由測試方法來驗證安全問題是否被處理完畢。但即便如此，仍難以在產品上市前發掘所有問題。故各大標準開始重視產品資安事件處理（Incident Response），從而提到如何透過SBOM，製造商可以在售出產品後，持續監控產品是否受到安全問題影響。
 
劉作仁說，深究SBOM之所以重要，在於現今製造商大量採用開源軟體套件，以加速產品開發。但令人憂心的，經統計高達78%開源軟體都被發現至少有一個安全漏洞，導致每個應用程式平均有64個漏洞；再者，開源軟體看似免費提供，但當你進行商業使用時，便必須遵循其授權規定，導致國外出現許多版權流氓，緊盯著你是否違規，藉機展開勒索，這些都是使用開源軟體時可能存在的問題。
 
但是製造商不可能因噎廢食而棄用開源軟體，所以需要透過SBOM，完整記錄自己或委外廠商使用的每一個開源套件，藉此建立軟體物料清單。日後若有安全漏洞被揭露，即可根據清單檢視自己的產品是否受影響。

可借助黑白箱掃描，加速建立開源風險清單

正確來說，SBOM是一個用於資訊交換的格式，大量使用在軟體供應鏈。我們可透過SBOM格式與上下游夥伴交換資料，讓他們知道我使用到哪些開源軟體，及這些軟體與產品的對應關係；接收者也可依據SBOM內容，檢視對應的授權要求及判斷是否受到已知安全問題的影響。因此SBOM不只用來列出清單，亦可描述產品與軟體套件的相依性關係。
 
如何建立開源軟體風險管理流程？劉作仁說，首先需建立開源風險清單，接著透過像是HERCULES SecSAM開源軟體風險管理平台，自動化分析清單中是否存在已知安全問題、違反授權規定的開源套件。今天你使用的開源套件也許一切安全，但未來哪天仍會有新的弱點出現，此時藉由SBOM與自動化平台，主動偵測開源套件裡是否存在新的安全問題，第一時間便可通知研發單位進行處理，而非被動地等待客戶或者是資安研究人員通知。
 
萬事起頭難，對研發同仁來說，建立軟體物料清單是一個痛苦的步驟，更是莫大的負擔。除可透過人工逐一盤點外，其實善用市面上的自動化軟體，可以減輕研發同仁的負擔。目前自動化軟體可以分為兩種分析方法，一是直接分析原始碼的內容，列舉使用到的開源套件有哪些，但是這對於外包給其他團隊開發而無法取得原始碼的情況下，便只能選擇第二個方式，透過二進位制檔案分析編譯後的韌體檔案（Binary），一樣可列出所使用到的開源套件。
 
畢竟這些自動化工具各有侷限，無法100%完整提供正確清單，因此不管今天選擇執行白箱原始碼掃描，或黑箱Binary檔案掃描，都有可能出現落差或誤判，仍需搭配研發人員檢視掃描結果的正確性。

利用自動化管理平台，有效控制開源軟體風險

針對盤點後的開源套件清單，可以匯入到管理平台，並利用平台所支援的SWID格式，將SBOM匯出給供應鏈夥伴或客戶，或者反過來請他人匯入清單，以利安全或研發團隊執行主動監控。
 
以HERCULES SecSAM為例，當清單匯入後，系統每日會自動與美國國家弱點資料庫（NVD）進行比對，協助用戶找出亟待修復的安全問題。所以在SBOM導入過程中，你往往會發現目前所使用的開源套件存在大量已知安全問題，針對這些問題，我們可藉由通用弱點評分系統（CVSS）來區分它們的嚴重程度，配合內部自己針對產品安全的處理程序，因應其風險等級展開對應的處置行動，借助Bug Tracking平台自動產生事件單，即時將重大風險與高風險的安全問題傳遞給研發單位，以便進行後續修正，讓軟體安全漏洞的處理更加自動化，也順勢提升它的可視性。
 
總括而論，我們可以善用自動化管理平台，有效解決開源軟體風險管控、SBOM管理等複雜問題，繼而整合第三方軟體弱點報告，介接問題追蹤管理系統的CI/CD工具，讓使用者以更彈性、更便利的方式，進行軟體安全漏洞的管理、追蹤及警示。